Túneles de doble pila a través de una interfaz externa
Los túneles de doble pila (túneles IPv4 e IPv6 paralelos mediante una sola interfaz física a un par) se admiten para VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como una interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo.
Descripción de los modos de túnel VPN
En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original) dentro de un segundo datagrama IP. El encabezado IP externo contiene la dirección IP de la puerta de enlace, mientras que el encabezado interno contiene las direcciones IP de origen y destino definitivas. Los encabezados IP externos e internos pueden tener un campo de protocolo de IPv4 o IPv6. Los firewalls serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en ruta.
Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 dentro de paquetes IPv4, como se muestra en Figura 1. Los campos de protocolo para los encabezados externo e interno son IPv4.
Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 dentro de paquetes IPv6, como se muestra en Figura 2. Los campos de protocolo para los encabezados externos e internos son IPv6.
Los túneles IPv6 en IPv4 encapsulan paquetes IPv6 dentro de paquetes IPv4, como se muestra en Figura 3. El campo de protocolo para el encabezado externo es IPv4 y el campo de protocolo para el encabezado interno es IPv6.
Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 dentro de paquetes IPv6, como se muestra en Figura 4. El campo de protocolo para el encabezado externo es IPv6 y el campo de protocolo para el encabezado interno es IPv4.
Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 al mismo tiempo. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 vinculada a ese túnel debe configurarse con ambos family inet y family inet6.
Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa para túneles IPv4 e IPv6 paralelos a un par en una VPN de sitio a sitio basada en rutas. Esta característica se conoce como túneles de doble pila y requiere interfaces st0 independientes para cada túnel.
Para VPN basadas en políticas, IPv6 en IPv6 es el único modo de túnel compatible y solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
Descripción de túneles de doble pila a través de una interfaz externa
Los túneles de doble pila (túneles IPv4 e IPv6 paralelos mediante una sola interfaz física a un par) se admiten para VPN de sitio a sitio basadas en rutas. Una interfaz física configurada con direcciones IPv4 e IPv6 se puede usar como interfaz externa a puertas de enlace IPv4 e IPv6 en el mismo par o en diferentes pares al mismo tiempo. En Figura 5, las interfaces físicas reth0.0 y ge-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.
En Figura 5, se deben configurar interfaces de túnel seguro separado (st0) para cada túnel VPN IPsec. No se admiten túneles IPv4 e IPv6 paralelos vinculados a la misma interfaz st0.
Un solo túnel VPN IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 al mismo tiempo. Para permitir el tráfico IPv4 e IPv6 a través de un único túnel VPN IPsec, la interfaz st0 vinculada a ese túnel debe configurarse con ambos family inet y family inet6.
Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a un par de VPN, se recomienda configurar local-address en el nivel de jerarquía [edit security ike gateway gateway-name].
Si local-address está configurado, se utiliza la dirección IPv4 o IPv6 especificada como dirección de puerta de enlace local. Si solo se configura una dirección IPv4 y una dirección IPv6 en una interfaz externa física, local-address no es necesaria la configuración.
El local-address valor debe ser una dirección IP configurada en una interfaz del firewall serie SRX. Se recomienda pertenecer local-address a la interfaz externa de la puerta de enlace de IKE. Si local-address no pertenece a la interfaz externa de la puerta de enlace de IKE, la interfaz debe estar en la misma zona que la interfaz externa de la puerta de enlace de IKE y se debe configurar una política de seguridad dentro de la zona para permitir el tráfico.
El local-address valor y la dirección de puerta de enlace IKE remota deben estar en la misma familia de direcciones, ya sea IPv4 o IPv6.
Si local-address no está configurado, la dirección de puerta de enlace local se basa en la dirección de puerta de enlace remota. Si la dirección de puerta de enlace remota es una dirección IPv4, la dirección de puerta de enlace local es la dirección IPv4 principal de la interfaz física externa. Si la dirección de puerta de enlace remota es una dirección IPv6, la dirección de puerta de enlace local es la dirección IPv6 principal de la interfaz física externa.
Consulte también
Ejemplo: Configuración de túneles de doble pila a través de una interfaz externa
En este ejemplo, se muestra cómo configurar túneles IPv4 e IPv6 paralelos a través de una única interfaz física externa a un par para VPN de sitio a sitio basadas en rutas.
Requisitos
Antes de comenzar, lea Descripción de los modos de túnel VPN.
La configuración que se muestra en este ejemplo solo se admite con VPN de sitio a sitio basadas en rutas.
Descripción general
En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo par:
El túnel IPv4 transporta tráfico IPv6; opera en modo de túnel IPv6-in-IPv4. La interfaz de túnel seguro st0.0 vinculada al túnel IPv4 está configurada solo con la familia inet6.
El túnel IPv6 transporta tráfico IPv4 e IPv6; opera en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6. La interfaz de túnel seguro st0.1 vinculada al túnel IPv6 está configurada con la familia inet y la familia inet6.
Tabla 1 muestra las opciones de fase 1 utilizadas en este ejemplo. La configuración de la opción de fase 1 incluye dos configuraciones de puerta de enlace de IKE, una al par IPv6 y la otra al par IPv4.
Option |
valor |
|---|---|
Propuesta de ICR |
ike_proposal |
Método de autenticación |
Claves previamente compartidas |
Algoritmo de autenticación |
MD5 |
Algoritmo de cifrado |
CBC de 3DES |
Vida |
3600 segundos |
Política de ICR |
ike_policy |
Modo |
Agresivo |
Propuesta de ICR |
ike_proposal |
Clave previamente compartida |
Texto ASCII |
Puerta de enlace IKE IPv6 |
ike_gw_v6 |
Política de ICR |
ike_policy |
Dirección de puerta de enlace |
2000::2 |
Interfaz externa |
reth1.0 |
Versión de ICR |
IKEv2 |
Puerta de enlace IKE IPv4 |
ike_gw_v4 |
Política de ICR |
ike_policy |
Dirección de puerta de enlace |
20.0.0.2 |
Interfaz externa |
reth1.0 |
Tabla 2 muestra las opciones de fase 2 utilizadas en este ejemplo. La configuración de la opción de fase 2 incluye dos configuraciones de VPN, una para el túnel IPv6 y la otra para el túnel IPv4.
Option |
valor |
|---|---|
Propuesta de IPsec |
ipsec_proposal |
Protocolo |
ESP |
Algoritmo de autenticación |
HMAC SHA-1 96 |
Algoritmo de cifrado |
CBC de 3DES |
Política IPsec |
ipsec_policy |
Propuesta |
ipsec_proposal |
IPv6 VPN |
test_s2s_v6 |
Interfaz de enlace |
st0.1 |
Puerta de enlace de ICR |
ike_gw_v6 |
Política IPsec de IIKE |
ipsec_policy |
Establecer túneles |
Inmediatamente |
IPv4 VPN |
test_s2s_v4 |
Interfaz de enlace |
st0.0 |
Puerta de enlace de ICR |
ike_gw_4 |
Política IPsec de IIKE |
ipsec_policy |
En la tabla de enrutamiento IPv6 se configuran las siguientes rutas estáticas:
Enruta el tráfico IPv6 a 3000::1/128 a st0.0.
Enruta el tráfico IPv6 a 3000::2/128 a través de st0.1.
Una ruta estática está configurada en la tabla de enrutamiento predeterminada (IPv4) para enrutar el tráfico IPv4 a 30.0.0.0/24 a st0.1.
El procesamiento basado en flujos del tráfico IPv6 debe habilitarse con la mode flow-based opción de configuración en el nivel jerárquico [edit security forwarding-options family inet6].
Topología
En Figura 6, el firewall de la serie SRX A admite túneles IPv4 e IPv6 para el dispositivo B. El tráfico IPv6 a 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 a 3000::2/128 y el tráfico IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 20.0.0.1/24 set interfaces reth1 unit 0 family inet6 address 2000::1/64 set interfaces st0 unit 0 family inet6 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set security ike proposal ike_proposal authentication-method pre-shared-keys set security ike proposal ike_proposal authentication-algorithm md5 set security ike proposal ike_proposal encryption-algorithm 3des-cbc set security ike proposal ike_proposal lifetime-seconds 3600 set security ike policy ike_policy mode aggressive set security ike policy ike_policy proposals ike_proposal set security ike policy ike_policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike_gw_v6 ike-policy ike_policy set security ike gateway ike_gw_v6 address 2000::2 set security ike gateway ike_gw_v6 external-interface reth1.0 set security ike gateway ike_gw_v6 version v2-only set security ike gateway ike_gw_v4 ike-policy ike_policy set security ike gateway ike_gw_v4 address 20.0.0.2 set security ike gateway ike_gw_v4 external-interface reth1.0 set security ipsec proposal ipsec_proposal protocol esp set security ipsec proposal ipsec_proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_proposal encryption-algorithm 3des-cbc set security ipsec policy ipsec_policy proposals ipsec_proposal set security ipsec vpn test_s2s_v6 bind-interface st0.1 set security ipsec vpn test_s2s_v6 ike gateway ike_gw_v6 set security ipsec vpn test_s2s_v6 ike ipsec-policy ipsec_policy set security ipsec vpn test_s2s_v6 establish-tunnels immediately set security ipsec vpn test_s2s_v4 bind-interface st0.0 set security ipsec vpn test_s2s_v4 ike gateway ike_gw_v4 set security ipsec vpn test_s2s_v4 ike ipsec-policy ipsec_policy set routing-options rib inet6.0 static route 3000::1/128 next-hop st0.0 set routing-options rib inet6.0 static route 3000::2/128 next-hop st0.1 set routing-options static route 30.0.0.0/24 next-hop st0.1 set security forwarding-options family inet6 mode flow-based
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar túneles de doble pila:
Configure la interfaz externa.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 20.0.0.1/24 user@host# set reth1 unit 0 family inet6 address 2000::1/64
Configure las interfaces de túnel seguras.
[edit interfaces] user@host# set st0 unit 0 family inet6 user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
Configure las opciones de fase 1.
[edit security ike proposal ike_proposal] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm md5 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600 [edit security ike policy ike_policy] user@host# set mode aggressive user@host# set proposals ike_proposal user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway ike_gw_v6] user@host# set ike-policy ike_policy user@host# set address 2000::2 user@host# set external-interface reth1.0 user@host# set version v2-only [edit security ike gateway ike_gw_v4] user@host# set ike-policy ike_policy user@host# set address 20.0.0.2 user@host# set external-interface reth1.0
Configure las opciones de fase 2.
[edit security ipsec proposal ipsec_proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc [edit security ipsec policy ipsec_policy] user@host# set proposals ipsec_proposal [edit security ipsec vpn test_s2s_v6 ] user@host# set bind-interface st0.1 user@host# set ike gateway ike_gw_v6 user@host# set ike ipsec-policy ipsec_policy user@host# set establish-tunnels immediately [edit security ipsec vpn test_s2s_v4] user@host# set bind-interface st0.0 user@host# set ike gateway ike_gw_v4 user@host# set ike ipsec-policy ipsec_policy
Configure rutas estáticas.
[edit routing-options rib inet6.0] user@host# set static route 3000::1/128 next-hop st0.0 user@host# set static route 3000::2/128 next-hop st0.1 [edit routing-options] user@host# set static route 30.0.0.0/24 next-hop st0.1
Habilite el reenvío basado en flujos IPv6.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
Resultados
Desde el modo de configuración, ingrese los comandos , show security ike, show security ipsec, show routing-optionsy show security forwarding-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar el estado de fase 1 de ICR
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Desde el modo operativo, ingrese el show security ike security-associations comando.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en los dispositivos par.
Verificar el estado de fase 2 de IPsec
Propósito
Verifique el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando.
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Significado
El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en los dispositivos par.
Verificar rutas
Propósito
Verificar rutas activas.
Acción
Desde el modo operativo, ingrese el show route comando.
user@host> show route
inet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Significado
El show route comando enumera las entradas activas en las tablas de enrutamiento.